.NET MAUI 가짜 안드로이드 앱
사이버 보안 전문가들은 Microsoft의 .NET Multi-platform App UI(.NET MAUI) 프레임워크를 악용하는 새로운 Android 맬웨어 캠페인을 발견했습니다. 은행 및 소셜 미디어 애플리케이션으로 위장한 이 위협적인 애플리케이션은 주로 인도와 중국어 사용자를 대상으로 하며 민감한 정보를 수집하는 것을 목표로 합니다.
목차
.NET MAUI는 무엇이고 왜 사용되는가?
.NET MAUI는 C# 및 XAML을 사용하여 네이티브 애플리케이션을 개발하기 위한 Microsoft의 크로스 플랫폼 프레임워크입니다. Xamarin에서 진화하여 개발자에게 단일 프로젝트로 다중 플랫폼 애플리케이션을 만드는 간소화된 방법을 제공하는 동시에 필요한 경우 플랫폼별 코드를 허용합니다.
특히, Microsoft는 2024년 5월 1일에 Xamarin에 대한 지원을 공식적으로 종료하여 개발자들이 .NET MAUI로 전환하도록 장려했습니다. 위협 행위자들은 빠르게 적응하여 이 프레임워크를 활용하여 새로운 Android 맬웨어를 개발하고 공격 방법을 개선하고 발전시키는 추세를 계속하고 있습니다.
.NET MAUI가 맬웨어가 탐지를 회피하는 데 도움이 되는 방법
DEX 파일과 네이티브 라이브러리에 의존하는 기존 Android 애플리케이션과 달리 .NET MAUI 기반 맬웨어는 핵심 기능을 C# blob 바이너리에 저장합니다. 이는 프레임워크가 멀웨어가 피해자 기기에서 감지되지 않은 채로 지속되도록 돕는 패커 역할을 하기 때문에 감지가 더 어려워집니다.
.NET MAUI를 활용함으로써 사이버 범죄자들은 여러 가지 이점을 얻습니다.
- 스텔스 모드 : 손상된 코드는 C# 바이너리에 숨겨져 있어 분석하기 어렵습니다.
- 지속성 연장 : 맬웨어는 보안 경고를 발생시키지 않고 감염된 장치에 더 오랫동안 남아 있습니다.
- 회피 전략 : 비전통적인 아키텍처를 통해 기존 보안 검사를 우회할 수 있습니다.
가짜 뱅킹 및 소셜 미디어 애플리케이션 식별
연구자들은 .NET MAUI를 사용하는 여러 사기성 앱을 식별했으며, 이를 통틀어 FakeApp이라고 합니다. 주목할 만한 가짜 애플리케이션에는 다음이 포함됩니다.
가짜 은행 신청서:
인더스 신용카드(indus.credit.card)
인두신드 카드(com.rewardz.card)
가짜 소셜 미디어 및 유틸리티 애플리케이션:
큐피드(pommNC.csTgAT)
X•GDN(pgkhe9.ckJo4P)
迷城 (Míchéng) (pCDhCg.cEOngl)
私密相册 (Private Album) (pBOnCi.cUVNXz)
작은 우주(Little Universe) (p9Z2Ej.cplkQv)
이러한 애플리케이션은 사용자를 속여 설치한 다음 사용자의 개인 데이터를 은밀하게 추출하여 공격자가 제어하는 서버로 전송합니다.
사용자가 속는 방식
Google Play를 통해 배포되는 합법적인 애플리케이션과 달리, 이러한 가짜 애플리케이션은 배포를 위해 사기성 전술에 의존합니다. 공격자는 메시징 애플리케이션을 통해 사기성 링크를 보내 사용자를 비공식 앱 스토어로 유도하여 자신도 모르게 맬웨어를 다운로드합니다.
예를 들어:
- 가짜 뱅킹 애플리케이션은 인도 금융 기관을 사칭하여 사용자의 성명, 휴대전화 번호, 신용카드 정보, 정부 발급 신분증을 훔칩니다.
- "X"(이전의 Twitter)를 모방한 사기성 소셜 미디어 앱이 중국어 사용자를 대상으로 연락처, SMS 메시지, 사진을 수집합니다.
사용된 고급 회피 기술
탐지를 피하기 위해 맬웨어는 여러 가지 정교한 기술을 사용합니다.
- 암호화된 데이터 전송 : 수집된 데이터는 암호화된 소켓 통신을 사용하여 명령 및 제어(C2) 서버로 전송됩니다.
- 가짜 권한 : 맬웨어는 분석 도구를 혼란스럽게 하기 위해 무의미한 권한(예: 'android.permission.LhSSzIw6q')을 AndroidManifest.xml 파일에 삽입합니다.
- 다단계 동적 로딩 : XOR로 암호화된 로더를 사용하여 AES로 암호화된 페이로드를 시작한 다음 실제 맬웨어가 포함된 .NET MAUI 어셈블리를 로드합니다.
- 사용자 상호작용이 악의적 행동을 유발합니다 . 핵심 페이로드는 C# 코드에 숨겨져 있으며, 사용자가 앱과 상호작용할 때만 활성화됩니다(예: 버튼 누름). 그 시점에서 조용히 데이터를 훔쳐 C2 서버로 전송합니다.
안전을 유지하는 방법
이러한 공격이 점점 더 정교해짐에 따라 사용자는 자신을 보호하기 위해 사전 조치를 취해야 합니다.
- 타사 앱 스토어 피하기 - Google Play나 신뢰할 수 있는 출처에서만 앱을 다운로드하세요.
- 애플리케이션 권한 확인 – 불필요한 권한을 요청하는 애플리케이션에 주의하세요.
- 피싱 링크에 주의하세요 - 메시지에 있는 의심스러운 링크를 클릭하지 마세요.
- 안티 맬웨어 소프트웨어 사용 – 잠재적 위협을 탐지하고 제거하기 위해 신뢰할 수 있는 모바일 보안 솔루션을 설치하세요.
사이버 범죄자들이 끊임없이 전략을 진화시키고 있으므로, 최신 정보를 파악하고 주의를 기울이는 것이 새로운 위협에 대항하는 최선의 방어책입니다.
